آیا احراز هویت نهادهای مختلف برای همدیگر قابل پذیرش است؟
صادق فرامرزی، مدیرعامل هلدینگ صاد؛
پس از نامهای که توسط اداره مبارزه با پولشویی بانک مرکزی مبنی بر ممنوعیت احراز هویت غیر حضوری جهت خدمات پایه به بانکها ابلاغ شد در میز گردی مطالبی گفتم که به برخی از آنها در این یادداشت اشاره میکنم.
کرونا علیرغم همه مصائبی که بر دنیا وارد کرد در درون خود دارای فرصتی بود که جوامع مختلف به نسبت ظرفیت خود از آن بهرهمند شدند. به گمان من شاید یکی از کشورهایی که کمترین استفاده را از این فرصت کرد ایران بود. این اعتقاد نافی تمام زحمات و تغییرات مشخص اتفاق افتاده در این دو سال نیست، منتها همین که پس از دو سال از شروع این بیماری و تقریباً در دومین سالگرد آن در مورد دروازه ورود به تحول دیجیتال یعنی احراز هویت دیجیتال چنین حکمی میآید موید اعتقاد بنده است. حتما میدانید که ماجرا همان تبصره (۳) ماده (۹۱) آییننامه اجرایی ماده۱۴ الحاقی قانون مبارزه با پولشویی است که با پیگیریهای فراوان در تاریخ ۲۹/۱۱/۱۳۹۹ به این شکل تغییر کرد:
«هیأت وزیران در جلسه ۱۳۹۹/۱۱/۲۹ به پیشنهاد وزارت امور اقتصادی و دارایی و به استناد اصل یکصد و سی و هشتم قانون اساسی جمهوری اسلامی ایران تصویب کرد: در تبصره (۳) ماده (۹۱) آییننامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی موضوع تصویبنامه شماره ۹۲۹۸۶/ت۵۷۱۰۱هـ مورخ ۱۳۹۸/۷/۲۲، عبارت “ممنوع است.” به عبارت “با رعایت دستورالعملی که به تصویب شورا میرسد، خواهد بود.” اصلاح میشود. »
این یعنی بدون ارائه دستورالعمل تمام این مصوبه یعنی هیچ و متاسفانه دستورالعملی هم ابلاغ نشد.
هر چند نگارنده معتقد است میتوان این نوع احراز هویت را غیرحضوری ندانست چرا که با ابزارهای بیومتریک و تصاویر لایو، این نوع احراز هویت حضوریست و فقط شامل سطوح مختلف میشود و این در دنیا پذیرفته شده است. ما قوانین را از اسناد بالادستی بینالمللی ترجمه میکنیم اما در هنگام تطبیق پذیریهای بعدی سخت عمل میکنیم.
همواره از سجام به عنوان یک مثال خوب از استفاده درست و به موقع از تکنولوژی جهت احراز هویت یاد میکنند که کاملا درست هم هست و در زمان خود بسیار هوشمندانه عمل شد. به اعتقاد من در ماجرای سجام مجموعه سمات صاحب یکی از تمیزترین و کاملترین دیتابیسهای اطلاعات کاربران شد، حتی شاید تنها مجموعه با این سطح دقت و حجم اطلاعات. در همان زمان این نگرانی را به بانکها و مخصوصاً بانک مرکزی اعلام کردم که چه نظارتی بر شرکتهایی که ناگهان اعلام حضور کردند و با بانکهای مختلف جهت احراز هویت غیر حضوری قرارداد بستند وجود دارد؟ روند اجرای عملیات غیر حضوری را چه کسی تایید میکند؟ نگهداری اطلاعات چگونه کنترل میشوند؟ آیا حواسمان بود که این شرکتهای واسطه امکان دسترسی و لاگ چه سطح از اطلاعات محرمانهای دارند؟
البته لازم به ذکر است خوشبختانه خیلی از بانکها این حساسیت را داشتند و کارهای امنیتی لازم را انجام میدادند.
همه اینها را بگذارید در کنار اینکه تکیه این عملیات بر این بود که افراد قبلاً در بانک حساب داشتهاند پس یکبار احراز هویت شدهاند اما در سیستم بانکی این ابزار قابل اتکا نیز لزوما وجود ندارد.
حتما ملاحظه کردهاید که اگر در شعبه A بانکی احراز هویت حضوری شده باشید در مراجعه با شعبه B همان بانک در زمانی دیگر برای افتتاح حساب مجدداً و بطور کامل احراز هویت میشوید همه مدارک را مجدداً میدهید و همه فرآیند را مجدد انجام میدهید. این یعنی شعبه B مسئولیت احراز هویت انجام شده در شعبه A را حتی در یک بانک نمیپذیرد. دقت کنید داریم در مورد احراز هویت حضوری صحبت میکنیم. حالا بماند که حتی در همان بانک A هم در صورت در خواست وام یا افتتاح حساب جدید یا… مجدد بطور کامل احراز هویت میشوید.
در چنین حالتی مگر میشود در مورد به اشتراکگذاری احراز هویت غیر حضوری حرف زد. اشکال کار جایی است که مبانی احراز هویت از استاندارد یکسانی برخوردار نیستند و هیچ نهادی جهت تایید این پلتفرمها انتخاب نشده است.
در چنین حالتی دو راه به ذهنمان میرسد:
- حاکمیت مطابق علاقه قدیمی خود اقدام به تاسیس سامانه احراز هویت ملی کند. بهطور مثال به شرکت خدمات انفورماتیک ماموریت بدهد سامانهای جهت این فرآیند تهیه کند و همه بانکها از طریق یک سامانه واحد اقدام به احراز هویت کنند. مطلع هستیم که اتفاقاً این اقدام در مراحلی از اجرا وجود دارد.
- حاکمیت اقدام به ابلاغ یکسری چهارچوبها و الزامات در این حوزه کند که حتماً رفرنسهایی در این حوزه در دنیا وجود دارند (مانند EIDAS ) و در کنار آن نهاد یا نهادهایی را جهت آدیت، ارزیابی و ارائه گواهی به این شرکتها و البته محصولات معرفی کند. به ذهن من شرکتهای کاشف و افتا میرسند که جداگانه یا توامان این قابلیت را دارند.
بدیهی است علیرغم اینکه شاید بخش بزرگی از فعالان حوزه با راه حل اول مخالف باشند اما واقعیت این است که این مدل اتفاقاً کار میکند و برای شرایط همیشه حساس کنونی کارساز است. اشکالات مهمی هم بر آن وارد است مانند دوری از انعطاف و نوآوری که اساساً در همه سامانههای حاکمیتی مرکزی این ایراد وارد است و باید دید رگولاتور در ترازو به کدام نتیجه میرسد.
راه حل دوم نیز عاقلانه به نظر میرسد و حتی به گمان من به شدت الزامی است به شکلی که اعتقاد دارم حتی فردا برای تصمیمگیری در این حوزه دیر است.
شاید ترکیب توامان دو راه حل بهترین راه حل باشد یعنی ضمن تاسیس یک سامانه حاکمیتی ( در صورت اصرار رگولاتور ) استانداردهای این حوزه نیز دقیق تدوین و ابلاغ شود و اجازه فعالیت بخشهای خصوصی و فین تک ها نیز در این حوزه داده شود. حوزه هوش مصنوعی پرچمدار فناوری در سالهای پیش رو خواهد بود.
لطفاً فراموش نکنید که ما داریم در مورد به اشتراکگذاری احراز هویت صحبت میکنیم. در چنین حالتی رگولاتور برای خطاهایی که در این حوزه وجود دارند نیز باید روال بنویسد تا بانکها بدون نگرانی بتوانند مسئولیت پذیرفتن احراز هویت انجام شده توسط دیگری را بپذیرند.
رگولاتور باید قوانین به طور خاصGDPR را در استانداردسازی به اشتراک گذاری و ذخیره دادههای کاربران شامل اخذ تایید و اجازه کاربران جهت به اشتراکگذاری دادههای وی و امکان لغو مجوزهایی که قبلا صادر کرده است را بررسی و در مستندات خود مد نظر قرار دهد.
دقت کنید در دنیای نوآوری باز مفهوم مالکیت داده توسط بانکها به حاکمیت داده تغییر شکل یافته لذا دیگر بانکها مالک داده مشتریان خود نیستند بلکه فقط حاکم آن هستند و مسئولیت حفظ امنیت و محرمانگی آن را به عهده دارند.
البته حتماً راه حل سومی نیز وجود دارد که بگذاریم همینطور شرایط بدون رگولاتوری بگذرد و امیدوار باشیم اتفاقی نیفتد و بانکها و سازمانهایی که اعتقاد به راه انداز جا بنداز دارند و خیلی نگران عدم تطبیق نیستند بازار را بگیرند، البته به شدت معتقدم این از حوزههایی است که در صورت اتخاذ این تصمیم و یا تاخیر در تصمیم درست حتماً مجبور به تدوین یک طرح ” صیانت” در این حوزه نیز خواهیم شد.
تلاش میکنم در مورد مسائل جاری در مورد امضاء الکترونیک نیز بعداً مطالبی بنویسم اما بخش اول تشکیل دهنده هویت دیجیتال چیزی نیست بجز احراز هویت دیجیتال که اجزای کاملا تست شده و تمرین شده در دنیا دارند و نیاز و عادت قدیمی ما به اختراع مجدد چرخ را مرتفع میکند.
در پایان اشاره میکنم که مستند احراز هویت دیجتال توسط گروهی در بانک مرکزی آماده شد و در تابستان سال گذشته (۱۳۹۹) تقدیم بانک مرکزی گردید.